web-dev-qa-db-ja.com

POP / IMAP経由でメールをインポートする際にセキュリティ上の問題はありますか?

メールプロバイダーのメールインポート機能を設計したいと思います。プロセスは次のとおりです。ユーザーが私のサイトで別のサービスの電子メールとパスワードを入力すると、サイトは別の電子メールプロバイダーにアクセスし、TLS/STARTTLSを介してIMAPまたはPOP3経由でそこからメッセージをダウンロードします。

このような機能を設計する際には、どのようなセキュリティ問題を考慮する必要がありますか?それらの電子メールには、インポートプロセスを停止させる何かが含まれている可能性がありますか?ウイルス対策以外に何か必要ですか?

emaildefense
1
Andrei Botalov
  1. あなたは、あなたが管理していないサービスのアカウントのユーザーパスワードを受け入れ、それをしばらくの間(RAMにのみある可能性があります)保存しています。これは、他のサービスのユーザーがTOSなどでパスワードを提供することも禁止されている場合があります。 。
  2. TLS MITM攻撃、不正なCAに関する明らかな問題...(スタック交換に関する他の質問を参照してください。MoxieMarlinspikeによる作業です。サーバーの実装で証明書を手動で固定し、特定の既知のもののみを許可する場合を除いて、おそらく簡単に制御することはできません。サービス)。
  3. 他のサービスでは、ダウンロード時に電子メールを自動的に削除するなど、続行する前にユーザーに問題がないことを確認するよう警告する場合があります。
  4. 独自のサービス、バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリに関する通常のセキュリティ問題...
1
ewanm89